Napad na spletno stran pomoc

Uporabljaš kak CMS (joomla, wordpress, ...)? Če ja potem čimprej posodobi na najnovejšo verzijo.

Gre verjetno za klasični SQL injection napad. To pomeni, da preko posebej formatiranega url-ja popravijo vsebino v bazi. Ponavadi to delajo avtomatizirane skripte, ki zkoriščajo znane ranljivosti v popularnih CMS-jih.

največkrat vsebina ostane nedotaknjena, saj ni nihov namen uničevanje vsebine. želijo le "opozorit", razen index.php oz. prvo stran ti popravijo. če maš backup, pol prekopiraj vse datoteke iz backupa čez, drugače pa začni na uvodni strani.


lp

Upgrade na najnovejšo verzijo joomle. Na njihovi strani imaš navodila za upgrade med posameznimi verzijami.

Če samo prepišeš Joomlo z novejšo verzijo, tvegaš, da so napadalci pustili kak backdoor. Če ga pustijo, se bo napad zagotovo ponovil, zato moraš res skrbno pregledati celotno stran.

Dobroo je najprej ugotoviti, kdaj je prišlo do sprememb datotek na strani. Ko ta podatek imaš, pregledaš log datoteke okoli tega časa/datuma in poskušaš iz kakih čudnih GET/POST zahtevkov ugotoviti, preko katere ranljivosti so prišli v stran. Preveriš ranljivost in jo patchas.

Fino je, če imaš dostop do shella, potem lahko v par korakih pregledaš seznam nazadnje spremenjenih datotek na strežniku (v mapi gostovanja) in izbrišeš/popraviš, vse kar ne sodi tja. Šele potem narediš upgrade.

Nekaj informacij na to temo je tudi v zadnjem postu na mojem blogu .